内部风险管理
风险管理是指管理者试图组织他的公司(或业务单位)以准备应对可能出现的问题,并尽量防止问题的发生。风险管理是管理学中最复杂的分支之一,因为它要求管理者能够评估未知情况,并尽量为任何情况做好准备。它是区分、调查和承认不确定性及推测管理选择的技术。本质上,风险管理发生在每当金融专家或基金经理分析并试图确定在任何给定情况下潜在损失的可能性时,并随后采取适当的行动以尽量减少该风险。
内部控制与外部控制
风险管理工具通常分为内部控制,意味着防止来自组织内部的问题的工具,以及外部控制,意味着准备应对来自其他地方的威胁和问题。
内部控制
内部控制是组织内部为确保一切顺利运作并使错误保持在最低限度而制定的程序和流程。这包括建立标准操作程序(SOP)、质量保证(QA)和审计等内容。它还包括检查和调查,以确保这些SOP和QA流程得到正确遵循,而不仅仅是未使用的文件。本文中的大多数例子将集中在内部风险管理上。
外部控制
外部控制是为了保护组织免受外部力量造成的损害。这包括评估新产品可能失败销售的可能性、在发生事故时可能遭受的损失,以及确保组织在灾难发生时得到适当的保险。外部控制包括相对较小的事情,如建立安全措施(以确保行业机密得到保护),通过货币对冲确保组织在汇率波动时不会遭受过多损失。
内部风险控制的性质
内部风险控制是管理者和组织为减少来自组织内部的风险而采取的措施。这些控制分为四个广泛的类别:
- 监控:这些是为了监控操作并在问题升级之前识别问题而制定的控制措施。
- 控制环境:这意味着组织工作场所以最小化风险。这可以是从工厂安装安全设备到IT部门设置防火墙以防止病毒的任何事情。
- 信息与沟通:这是在部门、员工和管理者之间建立定期报告和沟通渠道。有时员工和管理者认为他们的问题“在控制之中”,但它可能即将演变成灾难——良好的沟通和报告有助于防止这种情况的发生。
- 风险评估:这是组织用来为运营的每个方面增加的风险赋予美元金额的方法。
风险评估是最棘手的,但也是最重要的。每个组织都有有限的资源,需要分配这些资源以最小化整体风险,而这个评估过程有助于指导这些努力。同时,每当公司增加更多的监控、控制和报告职责时,员工就会花更多的时间专注于风险管理,而减少了对产生收入的工作的关注。每当施加新的内部控制时,必须与其对试图保护的团队施加的成本相平衡。
内部风险控制在每个管理层级都在进行。最低级别的管理者试图最小化其团队在实现目标时固有的风险,而更高层次的管理者则审查整个组织的风险。有效的控制措施既是自下而上的,也是自上而下的,通过增加直接的沟通渠道,让普通员工报告他们认为内部控制被忽视的任何时候,或者如果可能需要新的控制措施来应对新的风险。
与外部风险控制的对比
外部风险控制更为自由,因为来自组织外部的风险无法像内部风险那样容易量化。这通常从SWOT分析(优势、劣势、机会和威胁)开始,重点关注识别的威胁。外部风险控制通常由更高层次的管理者处理,他们随后向较低层次的管理者发出指令以应对这些风险。
虽然内部控制是为了确保组织继续顺利运作,但外部风险控制则试图应对对业务本身的威胁。例如,航空公司始终面临油价上涨的风险,这会导致其运营费用大幅上升。他们采取的一种主要外部风险控制措施是购买石油期货,这锁定了未来几个月的固定价格,从而消除了一些不确定性。外部风险控制试图关注从输入价格变化到新法律和法规的通过,以及介于两者之间的所有内容。
评估风险的方法
风险评估没有固定的指导方针。然而,有一些一般规则是遵循的。风险评估有五个阶段,可以确保风险评估的准确完成。这五个阶段是:
阶段1:识别危险
在评估风险之前,第一步是识别该风险究竟是什么。第一步的目标是清晰简明地定义潜在问题是什么,以及可能造成的损害类型。例如,工作场所中的危险机器具有明确的伤害工人的风险,这不仅会导致生产力下降,还会引发诉讼。
许多危险最初非常模糊,但在管理者确定他们到底想要控制什么之前,无法采取有效的控制措施。可以通过利用各种不同的程序来识别危险,例如,走动在工作环境中或询问工人。一些危险可能很容易识别,而其他危险可能需要来自企业外部的其他专家的帮助。
阶段 2:识别利益相关者
这一阶段建立在第一阶段发现的危险和风险之上。工作场所中的问题有几个不同层次的利益相关者。例如,对于危险机械,面临受伤风险的工人显然是利益相关者。其他利益相关者将是该企业的其他单位,如果在生产链的早期发生事故,他们将被拖延。它还会影响那些可能受伤的人的家庭,以及可能因受伤后不良新闻而撤回投资的公司的股东。
阶段 3:评估危险并选择控制措施
评估危险意味着尝试分配一些发生危险的可能性。没有危险可以完全消除——只能减少。这意味着企业首先要识别从该危险中产生问题的可能性,以及潜在控制措施将降低该可能性的程度。
潜在控制措施的评估是通过平衡其实施成本(包括美元价值和实施控制所需的时间/精力)与实际降低的风险来进行的。一旦比较了几种替代方案,就可以引入新的控制措施。
阶段 4:记录发现
有效的控制措施以试点的方式实施。这意味着团队进行培训会议,概述危险是什么以及为解决这些危险而实施的新控制措施。在试点进行期间,整个团队(从普通工人到参与的管理层)记录实施对他们工作的影响,包括实际解决控制所针对的风险以及实施它们的实际成本。
步骤 5:审查评估并更新
风险控制需要不断审查其有效性并进行更新,同时与所有相关利益相关者进行相应的沟通。这通常由管理团队完成,指定一名“评估员”负责进行控制的审查或审计,以及其随时间的演变。随着时间的推移,需要对每种类型的控制实施变更,以应对新的风险和变化的商业环境。
审计风险控制的重要性
审计是对公司实施的内部风险控制的更大审查。审计与正常的风险评估程序是分开的,但在进行时遵循类似的路线图。
定期审计内部风险控制对于保持组织的顺利运行至关重要。它们的两个主要好处是确保内部控制按设计实施,同时获得对组织整体控制的“鸟瞰图”。这种鸟瞰图可以帮助识别内部控制的冗余,并简化流程,使其更便宜、更容易和更有效。
风险识别与评估
这与正常风险评估中的步骤 1 到步骤 3 相同,但从整体上看待业务运营,而不是单个业务单位。其目的是识别存在的风险,以及已经存在的控制措施来应对这些风险。如果没有足够的控制措施,审计团队将向相关利益相关者提出修复建议。
增强流程效率和有效性
这是试图协调组织内已实施的内部风险控制的过程。这些练习的主要目标是使业务单位更容易维持有效的控制。这通常意味着合并来自不同业务单位的标准操作程序,增强沟通渠道,并获得更多管理者关于哪些类型的控制占用他们最多时间的反馈。有效的内部控制审计意味着工人需要在合规上花费更少的精力,而在为企业创造价值上花费更多的精力,而不牺牲对风险的保护。